互联网时代变化迅速,企业也需要随之而动,为了应对快速变化的业务需求,各种第三方开源、商业SDK、开发框架等被广为使用。
在传统的供应链安全体系中,企业不仅仅考虑产品自身的安全性,还会考虑供应链中每个关键环节的安全,如供应商提供的零件是否安全,产品出厂后会不会被攻击者恶意篡改等。移动应用软件供应链也是如此,需要考虑应用中引入第三方组件的安全性,做好评估与审计,同时考虑应用发布后的安全性。
1. 打造移动应用软件供应链全生命周期安全
对企业开发者而言,移动应用软件供应链安全需要充分考虑:在开发时引入的第三方组件安全性如何,个人隐私数据是否合规。如何保障开发完成的应用,完整的交付到用户手中不被篡改。梆梆安全在多个节点给出安全能力支持,帮助企业开发者打造软件供应链全生命周期解决方案,保障软件供应链安全。
- 第一步:进行第三方组件管理。当获取到第三方组件之后,应该进行评估后再进行部署。梆梆安全提供安全分析能力,帮助开发者分析组件是否符合企业内部的安全规范/合规规范,同时持续监测第三方组件的维护情况,给出维护建议。
- 第二步:对应用进行安全测试。梆梆安全提供软件供应链分析能力,持续检测并列出应用中集成的组件清单,并对应用进行安全测试、行为测试,发现安全漏洞及违规行为。
- 第三步:保障应用分发安全。对于发布的应用,应该采取技术手段防止篡改行为,如恶意代码插入等情况。梆梆安全提供安全手段遏制静态篡改、动态篡改行为,保证发布应用与用户安装使用应用的一致性。梆梆安全同时提供应用渠道监测服务,监测应用分发渠道的盗版/仿冒应用情况。
- 第四步:发现运行时攻击。应用在用户手机上运行时,也可能遇到攻击事件。梆梆安全帮助开发者建立安全感知体系,发现不安全的运行环境,并感知攻击行为,对攻击行为作出阻断响应。
2. 做好软件供应链安全管理势在必行
CNCERT在《2019年开源软件风险研究报告》中明确指出:《网络安全审查办法》要求加强关键信息基础设施供应链安全。梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制,并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力,帮助企业建立软件供应链管理制度,保障软件供应链安全,避免出现各类违规行为,使得最终用户能够安心使用企业所提供的服务。
来源:freebuf.com 2020-07-17 11:25:06 by: 梆梆安全
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册